平成27年3月10日
衆議院予算委員会第一分科会第1号
○高井分科員 維新の党の高井崇志でございます。
(略)
今度は、容易照合性という問題について、ちょっと専門的な話ばかりで大変恐縮なんですが。
今、現行法では、それ単体で個人情報とは言えないデータでも、他の情報と容易に照合することができて、それによって特定の個人を識別することができるものは個人情報に含まれるんだと。つまり、容易に照合できてしまえば個人情報になってしまう。
それは、例えば、個人情報のデータベースと、それから匿名加工した情報のデータベース、二つ分けて置いているんですけれども、実際に一人の人間がこれにアクセスするということは、企業であればあると思うんですね。やはり、もともと同じデータベースから端を発しているものですから、これが、一人の人でもアクセスしたら、それは容易に照合できることになるから、これは全て個人情報にみなされてしまうと、では、それを分けるために会社は担当者を二人置かなきゃいけないとか、非常に煩雑なことになると思うんですが、このあたりはいかがでしょうか。
○向井政府参考人 お答えいたします。
匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。
したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。
したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。
(転載者コメント:高井分科員は、匿名加工情報とは関係なく容易照合性とは何か、容易照合性の解釈が厳しすぎるのでは?という質問をしたのに、向井政府参考人は、匿名加工情報の個人情報該当性を答えてしまっている。)
○高井分科員 大変早口というか、難しい質問で難しいお答えだったので、ちょっとにわかに理解できなかったんですが、また後ほど議事録を読ませていただいて、改めて法案審議のときに確認させていただけたらと思います。
平成27年3月25日
衆議院内閣委員会第2号
○濱村委員 公明党の濱村進でございます。
(略)
その上で、この個人情報、容易に照合できるものについても含まれるとしております。これは改正前からもそうだったんですけれども、これは容易照合性と言われるわけでございますが、この容易照合性について少し確認をしたいわけでございますけれども、どのような場合に容易照合性があるというふうに言えるのか、この点、まず御確認させてください。
○服部政府参考人 容易照合性でございますが、当該情報を保有する事業者において、他の情報との照合により特定の個人を識別することが可能か否かにより判断するものでございます。
例えば、それ自体は個人識別性がない情報につきまして、特別の調査を行ったり、特別の費用や手間をかけることなく、個人を識別する他の情報との照合が可能な場合には、容易照合性があると考えられます。
具体的には、個人情報取扱事業者が、氏名、生年月日、住所、電話番号が記載された顧客リストを保有しており、これとは別に商品購入履歴のリストがある場合におきまして、それぞれのリストに共通の整理番号が付され、それをもとにある商品購入履歴が特定の顧客にひもづく場合には、容易照合性があるものとして商品購入履歴も個人情報に該当することとなると考えられます。
○濱村委員 今審議官からございましたとおり、顧客リストがあって、購入履歴があって、それを容易にひもづけるような番号があれば、簡単にそれが個人情報となってしまうというわけでございます。
実は、そういう意味では、非常に個人情報の範囲というのは広いというふうに考えておりまして、これは現行の経済産業省のガイドラインにおいても非常に広く定義をされているわけでございます。事業者の中の取扱部門がそれぞれある、その取扱部門をまたがって情報を参照できる人間がいると、それは両方を照合することができるので個人情報になりますよというふうに言っているわけでございますが、一方で、それを個人情報ではないと言い切るのは難しいというようなことも、この規定はちょっと厳しいんじゃないかというような声も事業者からございました。
この点、恐らく、今回は、個人情報保護委員会、第三者機関としてどのように運用していくのかというのが非常に大事になってくるかと思います。引き続きまた法案審議のときに明らかにしてまいりたいと思いますが、しっかりと議論をさせていただきたいと思います。
(略)
○高井委員 維新の党の高井崇志でございます。
(略)
容易照合性、先ほど濱村委員も質問されて、ちょっと時間切れだったみたいですけれども、私ももう時間切れというか。
容易照合性というのは、個人情報の定義の中に、他の情報と容易に照合することができる、その容易にというのがどういう場合かというところが非常に事業者の間では不安な、まあ現行法でももうそうなっていまして、そういう意味では、現行法を所管する消費者庁が答えられるんですけれども、しかし、消費者庁の今の見解ではなかなか難しい。
つまり、簡単に言うと、データベースが二つあって、個人情報のデータベースと匿名化したデータベース、これを一人の人が両方アクセスできたらもうそれで容易に照合できるということになってしまう。それであれば、では、社長がいたらもうだめなのか、あるいはセキュリティーの担当一人の人が両方できたらだめなのかとか、非常に民間企業にとっては厳しい規定に、今の運用解釈ではそうなっていますので。
私は、今回、この法改正を機に、新たに個人情報保護委員会に所管が移ると思いますので、この容易照合性については改めて、消費者庁というよりも、ぜひこの法律をつくっている、所管している大臣にお聞きをしたいと思いますので、これはちょっときょうは質問はしません、消費者庁も来ていただいたんですが、質問はいたしません。
それでは、もう時間がございませんので、きょう平副大臣にも来ていただいていますので、海外との関係、個人情報の海外移転についてお聞きしたいと思います。
(略)
平成27年4月23日
衆議院本会議第19号
平成27年5月8日
衆議院内閣委員会第4号
○高井委員 維新の党の高井崇志でございます。
(略)
それでは、その容易照合性の話で、これも何度かお聞きしているんですけれども、今回、個人情報の定義として、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。」、法律上そうなっている。これは現行法でもそうですね。
一方で、行政機関の個人情報保護法というのがあります。この行政機関が使う個人情報保護法では、この「容易に」という文言はないんですね。つまり、二つの法律で「容易に」という文言を入れる入れないで、差がはっきりと設けられているわけです。
ところが、現行の実態を見ると、では、どこまで、どれを容易にという、ガイドラインなんかを見ても、ほとんど実態の差がない状況だと思います。
今回、こういった利活用を促進するという法改正をする、目的にも新たにそういう文言を入れるわけですから、この法改正後は、この「容易に」というところにしっかり差を設けるべきではないかと思います。
それについてお考えをお聞きしたいのと、この問題が解決しないと、個人情報の範囲というのは結局広がったままになって、利活用の促進というのが進まないと考えます。例えば、社内規定などでしっかり厳格に管理しているような場合にはこの容易な照合には該当しないというくらいの解釈の変更をしてはどうかと思います。
現実に、今の現行法の解釈、ガイドラインでは、例えば個人情報のデータベースとそれを匿名化したデータベースというのがあって、では、その両方のデータベースに一人の人間がアクセスしたら、もうそれは容易照合性なんだと判断されるんじゃないかとガイドラインでは読めるんです。およそ、データベースを二つに分けて、それぞれ担当者を置くなんていうことは、どんな大企業でもできることじゃない。ましてや中小企業でそんなことができるはずがない。もっと言えば、社長が一人、両方アクセスもできないのかというようなことになると思います。
そう考えると、一人の人間がアクセスできれば個人情報に全部該当してしまうというような解釈は私はおかしいと思うんですけれども、改正法でもそうなるんでしょうか。
○向井政府参考人 お答えいたします。
まず、行政機関等が保有する個人情報でございますが、事業者が保有する個人情報と比べまして、特に法令違反あるいは犯罪捜査に関する情報、課税関係の情報等、おおよそ行政に固有なものも多数ある、一方で、独立行政法人の病院が所有しているような、民間にもあるような情報も、両方あると考えられますが、それらのものにつきましては、秘密保持義務とか、そういうふうなものと関連いたしまして、やはりかなり扱いは異なっているものというふうに考えております。
そうした中で、個人情報の利活用の推進については、もちろん、今回、匿名加工情報という新たな類型を設けることなどによりまして、できるだけそういう利活用の推進も目指しているところでございますが、一方で、容易照合性の解釈、その運用自体がこの法案自体で変わるものではないとは考えております。
委員御指摘のような、社内規定などで厳格に管理されている場合についても、例えば事業者内部での技術的な照合が相当困難であるとか、独立したデータベースをそれぞれ別の管理者が管理し、社内規定等により容易にアクセスできないようになっているなどの、事業者内部において通常の業務における一般的な方法で照合が不可能となっているものの、例えばシステムを管理して、システムを管理といっても、メンテナンスをするような技術者、業務に関係のないような技術者が、たまたまきょうそこにアクセスをされるような場合があったからといって、直ちにこれが容易照合性があるというふうには解釈するべきではないと考えておりまして、そういう、一般的な方法で照合が不可能になっているものであれば、容易に照合できるような状態にないと解釈することはあり得るものと現行法でも考えております。
○高井委員 わかりました。
一般的というものの解釈になるわけですけれども、そういう一般的ですらだめなのかというふうに思っていましたので、前向きな御答弁をいただけたと思います。
(略)
平成27年5月13日
衆議院内閣委員会第5号
平成27年5月15日
衆議院内閣委員会第6号
平成27年5月20日
衆議院内閣委員会第7号
平成27年5月26日
参議院内閣委員会第9号
平成27年5月28日
参議院内閣委員会第10号
○上月良祐君 自由民主党の茨城県選出の上月良祐でございます。
(略)
ちょっともう一つお聞きしたいのは、国際的に見て、そういった利用環境というんでしょうか、そういったものは日本がどういう位置にあるのか。ITの活用全般は、日本というのは全般的に言うと遅れていると。セキュリティーの問題とか、あるいは経営上も守りの方を中心にどうも、しようがないからやっているんじゃないですけど、これはやらなきゃしようがないからやっているという方はありますが、攻める方でITを使うという意識が足りないと。これは何かそういうふうな意識のデータなんかもあったりして、ちょっと遅れている面があるというふうに言われてはおります。
ただ、国際的に見て、今お話がありましたような匿名加工情報という仕組みは世界で初めてなんでしょうか。そういうふうな取組だということでもありますので、今、日本が置かれているその状況というんでしょうか、その個人情報保護の中で活用できる環境づくり、それは世界の中と比べてどんな状況になっているんでしょうか。
○政府参考人(向井治紀君) お答えいたします。
日本の個人情報の定義は、容易に照合できる、他のデータと合わせて個人が識別できるものというふうになっているところでございます。
その際に、情報を移転する際に、容易に照合するのは情報の移転元か移転先かという議論がございます。日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして、そういたしますと、一旦個人情報となりますと、その情報の一部を提供する場合でも、これは大抵の場合、提供元において容易照合性はありますので、個人情報になってしまうという、そういうことはございます。
それは解釈で変更するか、いろんな手はあろうかと思いますけれども、今回はそういう意味で、匿名加工情報という新たな類型を設けることによって、法律に明確に個人情報を、そういう個人を識別できるデータを外して匿名化することによってその一部を移転することを明確化するというのが新たな試みであろうと思います。
これらの点については諸外国は解釈で行っているというふうなことはあろうかと思いますが、現在のそういう解釈に対して経済界が極めて、何といいますか、個人情報の利活用にちゅうちょしているという面はございます。
そういう意味で、現状の日本のビッグデータの利活用については、必ずしも世界のトップを行っているものではないというふうに認識しております。
○上月良祐君 ありがとうございます。
是非、環境を整えて、特に今回のような世界で初めて、本当の、どういうふうに定義するかで初めてかどうかというのは変わってくるのかもしれませんが、そういう取組をできるかどうかというのが成長戦略では私は一番重要だと思っております。
(略)
平成27年6月2日
参議院内閣委員会、財政金融委員会連合審査会第1号
平成27年6月2日
参議院内閣委員会第11号
平成27年6月4日
参議院内閣委員会第12号
番外(第187回国会) 平成26年11月7日
衆議院内閣委員会第9号
○三谷委員 みんなの党の三谷英弘です。本日、二十分間の質問時間をいただきました。
本日は、四時間四十分の長丁場となっておりますけれども、皆さん、お疲れさまでございます。
本日は、内閣委員会ということでございまして、今回もまた山口大臣にお越しいただいておりますので、さまざまな質問をさせていただこうと思っております。
私が弁護士から国会議員になったそもそものきっかけというものをちょっと振り返ってみると、さまざまな新しいビジネスというものがある中で、日本の規制によってなかなかそういったものが妨げられてしまっているというようなものを見てきたというところでございます。そして、日本のそういったビジネスがさまざまな規制によって足かせを受けている間に、海外ではどんどんそういったビジネスが進んでいく。そして、もちろん、インターネット等の世界でございますから、国境を越えて日本の中にもやってくる。当然ながら、日本の国内の事業者というのは真面目ですから、そういう規制をしっかりと守ってやっていく。一方で、規制がかからない海外の事業者は、構わずどんどんビジネスをやるということで、そもそも競争条件が違うわけですから、これは競争になるわけがありません。
そういう意味で、国際競争力というものが、日本の事業だけ、日本の企業だけどんどん低下をしていく、世界の中でおくれをとってくるというような姿を数多く見てまいりました。
本日質問させていただくのは、またぞろそういうことが国内に起きているんじゃないか、そういうようなことで質問をさせていただこうというふうに思っております。これは、基本的には実務的な内容が主になりますので、政府参考人の方とのやりとりということになるかと思いますけれども、よろしくお願いいたします。
まず、近時話題となっておりますビッグデータの取り扱いというものに関して少し質問をさせていただきたいと思います。
個人情報というものを守らなければいけないという観点から、個人情報保護法ができました。個人情報保護法のもとでビッグデータをどういうふうに使っていくかといいますと、当然ながら、個人情報に係る部分をなくしていく。単なるデータだけ見てもどういう個人かということが識別できないような加工をした上で、ビッグデータとして使っていくというようなやり方を多くの企業ではやっているということではありますけれども、しかしながら、このビッグデータの取り扱いというものには、実はまだまだグレーゾーンが多いということでございます。
どういうグレーゾーンかといいますと、ビッグデータからもともとの個人情報に立ち戻ることができる、つまり、ほかの情報と突き合わせるということによって個人が識別できてしまえば、それはビッグデータといえども個人情報だ、個人情報データベースだということで規制の対象になるというような考え方。その考え方自体は仕方がない部分はありますけれども、しかしながら、では、どこまでビッグデータとしてのデータベースと個人情報データベースというものを切り分けていかなければいけないのか、これが各企業において一番グレーゾーンとして難しいというふうに言われているところでございますので、この点について、まずは現行の解釈というものについてお答えいただければと思います。
○服部政府参考人 お答えさせていただきます。
個人情報保護法に関しまして御質問いただきました。
個人情報保護法におきましては、個人情報の定義としまして、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含むとしております。すなわち、それ自体では個人を識別できない情報であっても、事業者におきまして、通常業務における一般的な方法で個人を識別する他の情報との照合が可能な情報は、個人情報に当たることとなります。
個人情報保護法は、個人の権利利益の保護を目的としており、他の情報との照合により個人を識別できる情報につきましても、単体で個人を識別できる情報と同様、その取り扱いによっては、個人の権利利益を侵害する可能性があるということから、個人情報に含めているものでございます。
○三谷委員 それを前提に伺いますけれども、同じ会社の中で、個人情報データベースと、いわゆるそういった個人情報の部分が一切捨象されたビッグデータ用のデータベースが、二つある。この二つが、運用上も規定上も別物ということで、アクセスというものが、両方に同時にアクセスできないよという場合には容易に照合することができないというようなことですから、個人情報データベースとビッグデータのデータベースは別物だから、ビッグデータ用のデータベースには個人情報保護法の規制がかからないというふうな理解でよろしいでしょうか。
○服部政府参考人 お答えさせていただきます。
容易照合性は、事業者におきまして、通常業務における一般的な方法で個人を識別する他の情報との照合が可能かどうかで判断するものでございます。
社内規定等によりますもとデータへのアクセス制限を含め、組織的、技術的にどの程度分離されているかを個々のケースごとに見ていくものでございまして、御指摘のような社内規定等により容易照合性が否定されるとは一律に言えるものではないというふうに考えております。
○三谷委員 規定だけをもって一律に否定をしろというふうに言っているわけではありません。先ほどのお答えの中でやはり一番問題だと思うのが、可能かどうかというような、これが判断基準となりますと、これは非常に厳しい状況に追い込まれるだろうというふうに思っております。
二つのデータベースがあるという中で、先ほど申し上げたのは、規定上も運用上も厳格に双方へのアクセスが禁止をされているということでありますから、それによって、規定違反なり何なりがあった場合には、当然ながら、社内的に罰則なりいろいろな処分が下されることにはなるというような場合でも、どういうことに基づいて今お答えいただいているかというと、経済産業省がつくられているんだと思いますけれども、「「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A」でそういったところが書いてあるんですよ。「他の取扱部門のデータベースへのアクセスが規程上・運用上厳格に禁止されている場合であっても、双方の取扱部門を統括すべき立場の者等が双方のデータベースにアクセス可能な場合は、」容易に照合することができる。
これは、確かに照合することはできるかもしれませんけれども、法文上の「容易に」というところを果たして満たすのかどうか。これはちょっと、本来の法律の趣旨は、経済産業省なり、消費者庁でもいいんですけれども、そういったところが余りにも消費者寄りといいますか、個人情報保護に偏り過ぎてこういうガイドラインをつくっているんじゃないかと思うんですが、いかがでしょうか。
○服部政府参考人 やはり、個々のケースにつきましては、一律に見るということではなくて、具体的に、組織的分離、これは社内規定によるアクセス制限、それから技術的な分離、これはもとデータを復元できないような技術的加工、こういったものも総合的に個々のケースごとに見ていくということであるというふうに認識をしております。
○三谷委員 今までのケース、たしか前の国会におきましてグレーゾーン解消制度というものが経済産業省さんの鳴り物入りで導入されたというふうに私は理解をしておりますけれども、では、今まで、いわゆるグレーゾーン解消制度のもとで、もしくは具体的な問い合わせのもとで、これは会社を分ければ、ある意味、簡単なのかもしれません。しかしながら、会社を分けるか、一つの会社の中でやるかというのは、はっきり言えば法技術的な問題だけであって、同じ会社であってもしっかりそこは分けられているということであれば、それは特段問題ないと私は思うんですけれども。
そういう形で、事前に照会をして、このデータベースは大丈夫ですよというようなお墨つきを下したケースというのはあるんでしょうか。
○服部政府参考人 現在のところ、承知しておりません。
○三谷委員 実際問題、今、ビッグデータの利活用というものが非常に議論されている中で、海外の事業者は、はっきり言ったら、こんなことを考えずに、どんどん同じ会社の中でビッグデータ化して、そのデータをつくって使っているというような状況がある中で、これは日本の企業だけというふうに言っても構わないと思うんです。
もしあれば、海外の事業者に関して、個人情報データベースに当たるから個人情報保護法違反だということで何らかの対策をしたケースが過去にあったかどうか、教えてください。
○服部政府参考人 ないと認識しております。
○三谷委員 これが現状だと思います。
そういう意味で、どうしても日本の事業者というのは、こういう法律、法律までは我々国会議員も責任があると思うんですけれども、その法律をどう解釈するか、今回のような容易照合性の部分に関して、特定の誰か一人でも両方のデータベースにアクセスできればアウトだ、こんな厳格な解釈をする必要があるのかどうかということは、これは改めて考えていただきたいというふうに思います。
その意味で、今回、個人情報保護法の改正というものが今検討されている状況だと思いますけれども、この点について、改正の検討状況、第三者機関というものを設けようとされているというふうに理解をしておりますけれども、その点について事実関係を確認させてください。
○服部政府参考人 お答えさせていただきます。
現在、パーソナルデータに関する制度改正大綱に基づきまして、内閣官房におきまして法改正の検討がなされていると承知をしております。この中では、第三者機関のあり方も含め、また、容易照合性に関しましては、個人が特定される可能性を低減した情報について、一定の条件のもと、本人の同意を得ずに利活用可能とする枠組みを導入することが検討されているものと承知しております。
私どもといたしましても、引き続き検討に協力してまいりたいと考えております。
○三谷委員 ことしの六月にパーソナルデータの利活用に関する制度改正大綱というものが出されておりまして、この中で、第三者機関については、パーソナルデータの保護及び利活用をバランスよく推進することを目的とするんだというふうになっております。そして、その中では、民間の自主規制ルールの認定等というものによって、プライバシー保護水準を、ちゃんとプライバシーを保護しているかというようなことを判断するんだというふうになっております。
どうか、この具体的な進め方、運用の中で、今の、海外の事業者も全然普通にビッグデータとして使えるようなデータを、日本の事業者だけが、例えば、さまざまなデータを管理する事業者、顧客とのやりとりの中でやられる事業者はいっぱいあります。インターネット上の事業者は数多くそうですけれども、日本だけがこのビッグデータの活用という意味では不利益をこうむっている状況というものを十分理解していただいた上で、それに対応をしていただきたいというふうにお願いをさせていただきます。
このビッグデータの活用という部分に関して、一言だけでも、山口大臣、もしよければお答えいただきたいと思います。
○山口国務大臣 実は、今の個人情報保護法、私も自民党内で担当していろいろやっておりました。当時はこういうことは想定していませんでしたし、同時に、運用に当たって、ある意味、必要以上に出てくるべきはずの情報が出てこない等々、いろいろありました。やはり、法改正の必要はあろうかというふうな問題意識はございました。
先ほど来、三谷先生のお話のとおり、やはり照合できるかどうかということ、ちょっと微妙なところがまた、なかなか運用に問題が起こっておるんだろうと思います。そういったことも含めて、私自身も、個人情報保護の法改正に向かって、できるだけ関与していきたいと思っております。
○三谷委員 ありがとうございます。IT担当大臣として非常に心強いお答えをいただけたのではないかというふうに思っております。
先ほど申し上げたQ&Aというのは、実は、これは二〇〇七年の三月にできた回答なんですね。もう七年半たちますから、時代も変わっているということで、ここの書きぶりも変えていただければというふうに思います。
それから続きまして、もう一つ大きな話としてありますのが、いわゆる旅館業法に関しての話です。
(略)